在 Javascript 中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞。
JS 开发应用和 PHP , JAVA 等区别在于即没源代码,也可通过浏览器查看源代码。
获取 URL ,获取 JS 敏感信息,获取代码传参等,所以相当于 JS 开发的 WEB 应用属于白
盒测试,一般会在 JS 中寻找更多 URL 地址,(加密算法, APIkey 配置,验证逻辑,框
架漏洞等)进行后期安全测试。
1 、会增加攻击面( URL 、接口,分析调试代码逻辑)
2 、敏感信息(用户密码、 ak/sk 、 token/session )
3 、潜在危险函数( eval 、 dangerallySetInnerHTML )
4 、开发框架类 ( 寻找历史漏洞 Vue 、 NodeJS 、 Angular 等 )
打包器 Webpack : PackerFuzzer
AK/SK 云安全利用:工具箱 CF (云安全后续会讲更多)
浏览器插件: Pentestkit FindSomething Wappalyzer (前期的 JS 收集项目)
JS 应用&安全案例&泄漏云配置&接口调试&代码逻辑&框架漏洞自检
我最厉害。,。2025-05-22 21:10
相关推荐
云枫晖几秒前
JS核心知识-对象继承用户2519162427113 分钟前
Node之EventEmitterstudyForMokey3 分钟前
【Kotlin进阶】泛型的高级特性粟悟饭&龟波功16 分钟前
【网络安全】二、入门篇:HTTP 协议进阶 ——GET/POST 常用传参方法详解ajassi200020 分钟前
开源 C# 快速开发(八)通讯--Tcp服务器端毕设源码-钟学长21 分钟前
【开题答辩全过程】以 基于Java的戏曲网站设计与实现为例,包含答辩的问题和答案2501_9160074739 分钟前
Java界面开发工具有哪些?常用Java GUI开发工具推荐、实战经验与对比分享Winson℡1 小时前
如何理解 React Native 中的 useEffectAORO20251 小时前
三防手机是什么?有哪些值得购入的三防手机?_码力全开_1 小时前
Python从入门到实战 (14):工具落地:用 PyInstaller 打包 Python 脚本为可执行文件